Archiwum numerów

    O co chodzi z tą ochroną danych osobowych?RODO

    Z bankiem na ty Autor : Katarzyna Perec-Nodzyńska 3 minuty czytania

    W jaki sposób weryfikowana jest praca banku z danymi osobowymi? Jakie możemy ponieść konsekwencje w razie wycieku takich informacji? Czym grozi naruszenie RODO i co oznacza tajemniczy skrót RoPA (nie mylić z ropą)? Na te i inne pytania – ważne dla banku i naszych klientów – odpowiedzieli członkowie Zespołu Ochrony Danych.

    1. Jaką odpowiedzialność ponosi inspektor danych osobowych?

    Odpowiedzialność inspektora wynika z monitorowania zgodności RODO. Inspektor musi być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Ważne, aby był postrzegany w organizacji jako partner do dyskusji, a także aby był członkiem odpowiednich grup roboczych, zajmujących się w organizacji kwestiami przetwarzania danych. Inspektor powinien również współpracować z organem nadzorczym i pełnić funkcję punktu kontaktowego dla organu nadzorczego. Jest także punktem kontaktowym dla organizacji i jej klientów. Każdy może się skontaktować z inspektorem, a jego adres mailowy znajduje się na stronie ing.pl w zakładce ochrona danych osobowych – wyjaśnia Lilianna Rother-Obrączka, inspektor ochrony danych, lider Zespołu Ochrony Danych.

    2. Jakie obowiązki ma bank w związku z wystąpieniem naruszenia ochrony danych osobowych?

    – Bank jest administratorem danych osobowych – mówi Arkadia Czaderna, starszy specjalista. – RODO nałożyło na nas szereg obowiązków. Te związane z naruszeniami ochrony danych to:

    • wprowadzenie procedur umożliwiających stwierdzenie i ocenę naruszenia;
    • prowadzenie rejestru naruszeń;
    • zgłoszenie naruszenia do Prezesa Urzędu Ochrony Danych w przypadku wystąpienia ryzyka dla osoby, której dane zostały naruszone;
    • powiadamianie osoby, której dane dotyczą, o naruszeniu, gdy ryzyko, np. wyłudzenia pożyczki na jej dane, jest wysokie (ujawniono nr PESEL);
    • podejmowanie działań w celu przeciwdziałania skutkom naruszenia i zapobieganie im w przyszłości.

    Ważnym elementem całego procesu jest szybkość podejmowanych działań. Do Prezesa Urzędu Ochrony Danych Osobowych bank musi zgłosić naruszenie w ciągu 72 godzin od jego wykrycia. Do tego terminu wliczają się również dni wolne, dlatego prosimy – zgłaszajcie jak najszybciej wszystkie swoje podejrzenia wystąpienia incydentów.

    3. W jakich sytuacjach bank współpracuje z Urzędem Ochrony Danych Osobowych?

    Wyjaśnia Anna Góral, ekspert:

    1. Wyznaczając inspektora ochrony danych, który pełni funkcję punktu kontaktowego pomiędzy bankiem a UODO.

    2. Konsultując kwestie związane z przetwarzaniem danych.

    3. Biorąc udział w postępowaniach prowadzonych w związku ze skargami osób, których dane dotyczą.

    4. Koordynując działania związane ze zgłoszonymi naruszeniami.

    5. Biorąc udział w kontrolach prowadzonych przez UODO. Mogą to być:
      kontrole planowe, realizowane na podstawie publikowanego na początku każdego roku planu kontroli
      kontrole doraźne, będące wynikiem złożonej na bank skargi o naruszenie przepisów ochrony danych osobowych.

    4. Czym jest tajemnica bankowa i co grozi nam za ujawnienie tajemnicy bankowej?

    – Zgodnie z prawem bankowym tajemnicą bankową objęte są wszystkie informacje dotyczące czynności bankowej uzyskane w trakcie negocjacji, zawierania i podczas realizacji umowy – Małgorzata Świercz, starszy specjalista. – Tajemnicą bankową objęte są:

    • wszystkie dane zawarte w kartotece klienta,
    • dane dotyczące transakcji i sald rachunków,
    • informacje o posiadanych produktach i usługach.

    Za ujawnienie lub wykorzystanie tajemnicy bankowej grozi grzywna do 1 000 000 złotych i kara pozbawienia wolności do lat trzech.

    5. Czy można przesyłać dane osobowe poza Europejski Obszar Gospodarczy?

    – Tak – mówi Dominik Dyrgała, starszy ekspert – ale trzeba spełnić określone prawem warunki. Można przekazywać dane do krajów, które zostały uznane przez Komisję Europejską jako zapewniające odpowiedni poziom ochrony. Jeśli takiej decyzji Komisja Europejska nie wydała, administrator może zastosować dodatkowe odpowiednie zabezpieczenia przewidziane w RODO. Przykładem są Standardowe Klauzule Umowne (przyjęty przez Komisję Europejską wzór umowy określający minimalne wymogi dla podmiotu odbierającego dane) czy Wiążące Reguły Korporacyjne (zatwierdzone przez nadzorcę zasady wymiany danych w grupach przedsiębiorstw). RODO przewiduje również zupełnie wyjątkowe sytuacje, w których przekazanie danych jest możliwe. Dotyczy to na przykład ochrony żywotnych interesów osoby czy dochodzenia roszczeń. W niektórych sytuacjach należy wykonać ocenę wpływu transferu danych na ich ochronę (Transfer Impact Assessement – TIA). Przede wszystkim ma to ograniczyć zakusy rządów państw trzecich do dostępu do danych. Jeśli dane dotyczą klientów, to należy dodatkowo wziąć pod uwagę wymogi przewidziane dla outsourcingu i zwolnienia z tajemnicy bankowej. 

    6. W jaki sposób można zgłosić naruszenie ochrony danych?

    – Należy zgłosić jak najszybciej spostrzeżenie zagrożenia do swojego przełożonego i jednocześnie do inspektora ochrony danych na skrzynkę abi@ing.plW zgłoszeniu należy opisać, na czym polegało naruszenie, datę i godzinę rozpoczęcia naruszenia, gdzie wystąpiło naruszenie, jak długo trwało, kogo i ilu osób dotyczyło, jaki był zakres ujawnionych danych. Po wstępnej analizie skontaktujemy się z Tobą i ustalimy dalszą ścieżkę postępowania – mówi Stanisława Szydłowska, starszy specjalista.

    7. Na czym polega test równowagi?

    – Test równowagi (Legitimate Interest Assesment – LIA ) polega na ocenie, czy przetwarzanie danych osobowych można oprzeć na podstawie prawnie uzasadnionego interesu banku (art. 6 ust 1 lit. f RODO) – wyjaśnia Agnieszka Nycz, starszy ekspert. – Jest wyważeniem prawnie uzasadnionych interesów banku z interesami osób fizycznych oraz ich podstawowymi prawami i wolnościami. Taką ocenę przeprowadzamy podczas warsztatów z udziałem inspektora ochrony danych. Nieprzeprowadzenie testu równowagi może stanowić naruszenie RODO i skutkować nałożeniem kary pieniężnej na bank.

    8. Co to jest RoPA?

    – RoPA to Rejestr Czynności Przetwarzania (Register of Processing Activities) – wyjaśnia Dorota Strączyńska, starszy specjalista. – RODO nakłada na administratora danych obowiązek prowadzenia Rejestru Czynności Przetwarzania, za które jest on odpowiedzialny. W rejestrze należy wskazać wszelkie czynności związane z przetwarzaniem danych osobowych. Administrator ma obowiązek zapewnić aktualność Rejestru Czynności Przetwarzania, dlatego raz w roku przeprowadzamy warsztaty RoPA dla poszczególnych procesów w banku.

    Prowadzenie Rejestru Czynności Przetwarzania w sposób prawidłowy pozwala nam „rozliczyć się” przed organem nadzorczym w przypadku kontroli.

    Katarzyna Perec-Nodzyńska, Zespół Ochrony Danych CoE – Compliance

    wrzesień/październik 2022

    Z bankiem na ty

    Trzeba być eko, man!

    Z bankiem na ty

    Jeszcze przyjemniej w module maklerskim